experiencia y perspectivas del fraude informático en … · 2018-05-20 · la sociedad futura...
TRANSCRIPT
Mejores prácticas de seguridad para
prevenirlo y controlarlo
Experiencia y perspectivas del fraude
informático en Latinoamérica
Agenda
1. Experiencia del fraude informático en Latinoamérica
2. Perspectivas del fraude informático en Latinoamérica
3. Mejores prácticas de seguridad en prevención y control
del fraude informático
Experiencia y perspectivas
Clonación o falsificación de tarjetas, facilitado principalmente por el
uso de programas de código malicioso
Fuente: Informes internos de siniestralidad
Experiencia y perspectivas
Pareto: Pocos vitales, muchos triviales
El 20% de los ataques de seguridad a los sistemas, contribuyen a
la generación del 80% de los fraudes informáticos
Clonación o falsificación de tarjetas, facilitado principalmente por el
uso de programas de código malicioso
Fuente: Informe de inteligencia de seguridad de Microsoft, volumen 10
Experiencia y perspectivas
Clonación o falsificación de tarjetas, facilitado principalmente por el
uso de programas de código malicioso
Fuente: Informe de inteligencia de seguridad de Microsoft, volumen 10
Experiencia y perspectivas
Cadena de eventos: procesos, tecnología, información, personas
1. Procesos de negocio dinámicos, fuertemente apalancados en
tecnología y con oportunidades de mejoramiento en control
2. Gestión del riesgo operativo a nivel alto y medio; con esfuerzos
necesarios en integración (tecnológico, de continuidad del negocio,
de seguridad de la información) y actualización
3. Tecnología con alto grado de innovación y curva de obsolescencia,
vulnerabilidades y fallas de seguridad en los sistemas, retos para
actualizar conocimientos sobre su configuración y administración
4. Grandes volúmenes de información, en algunos casos atomizada,
con manejo parcial de su ciclo de vida, clasificación incompleta o
inexistente y medidas de protección por mejorar
5. “esfuerzos del ser humano por conseguir lo necesario para
satisfacer el número siempre mayor y mas variado de sus
necesidades, lo cual jamás logrará, pues el hombre es esclavo de
necesidades insaciables e infinitas, mientras que la naturaleza es
tacaña con sus limitados recursos” (J.M. Ferguson)
Experiencia
Factores externos
1. Procesos amplios y complejos
2. Tecnología al alcance de todos, con “autopistas” para el
tránsito de la información, amplias capacidades para el
procesamiento electrónico de datos, facilidades para el
almacenamiento y transferencia de información
3. Información disponible al instante, en cualquier parte del
mundo y con índice alto de volatilidad
4. Personas con fácil acceso para obtener conocimiento
especializado
5. En la era de la información y el conocimiento, el talento
humano, además del conocimiento individual y colectivo, son
un factor clave en la creación o erosión del valor de las
organizaciones
6. El poder de las redes sociales
7. La generación del futuro es una generación digital
Experiencia
Factores externos, estrategia del crimen organizado:
1. Conocimiento de los procesos de las organizaciones (vinculación
como clientes, uso de “mulas”, ingeniería social)
2. “Inversión” en investigación y desarrollo
3. Mimetización en el espacio virtual y las redes sociales, para
afectar la seguridad de los sistemas
4. Ingeniería social y métodos disuasivos o coercitivos para abordar
al factor común que:
Ejecuta los procesos
Crea, accede, modifica y elimina información
Administra, opera y proporciona soporte a la tecnología
Perspectivas
1. Masificación de fraudes informáticos orientados a dispositivos
inteligentes y Banca Móvil
2. “Mejoramiento continuo” en la combinación de técnicas de
ataque, para tener acceso a información confidencial
3. Focalización en información y personal administrados por
proveedores y terceros
Mejores prácticas de seguridad
Modelo de Convergencia para Combatir Eficazmente el Fraude
Inteligencia del delito
Capacitación y entrenamiento
focalizado
Modelos de control
•ACFE
•IIA - COSO
•COBIT
•ISO
Planes estratégicos
Modelo Lean
Administración integral del
riesgo Sinergias
•TI
•Fraude
•Negocio
•Comunicaciones
•Otras
Gestión Por Procesos
•Roles y responsabilidades
Gestión del Conocimiento
| 11
Planes estratégicos
“ Conoce al enemigo y conócete a ti mismo; nunca te encontrarás en peligro en
cien batallas. Cuando no sabes nada del enemigo pero te conoces a ti mismo,
tienes igual probabilidad de ganar o perder. Si no conoces al enemigo ni a ti
mismo, puedes estar seguro de estar en peligro en todo combate”
“El excelente general pondera la situación antes de moverse...toma riesgos
calculados pero nunca innecesarios”
“Tal vez algunos elementos de su ejército están insuficientemente entrenados,
insatisfechos, cobarde o torpemente dirigidos...estas condiciones constituyen
vacios y proveen oportunidades para que un general imaginativo diseñe un
ventajoso curso de acción”
Fuente: Libro El Arte de la Guerra de Sun Tzu; traducción de Jaime Barrera, editorial
Panamericana.
Modelo Lean
Protección de Activos
Adm
inis
tració
n e
Infr
aest
ructu
ra
Modelo
Opera
tivo
Menta
lidad y
Com
port
am
iento
Roles y responsabilidades Inteligencia del fraude
Refuerzo SCI – Labor conjunta Conocimiento del empleado
Registro y documentación Medición de resultados
Conocimiento del Cliente Control de calidad y calibración
Capacitación, entrenamiento, concientización
| 17
Gestión por procesos
PROGRAMA INTEGRAL PARA CONTROL DEL FRAUDE Líder estratega Definir estrategia
antifraude y alinearla con la estrategia de
negocio.
Prevenir fraudes Detectar fraudes Investigar fraudes Gestionar
incidentes de fraude
Modelos predictivos
y descriptivos
Manejo de casos
Mapas de riesgo de
fraude
Admon. De Incidentes
Gestión de alertas
**
** Nombrados por áreas gestoras de alertas
Plan estratégico
ATF
Líder programa antifraude
Especialistas del negocio (dueños proceso, gestores de riesgo)
Especialistas en riesgos y controles antifraude
Expertos en modalidades de fraude
Especialistas en modelamiento descriptivo y predictivo
Especialistas riesgo operativo
Especialistas en gestión de incidentes y alertas
Investigadores de fraudes
Especialistas legal
Especialistas capacitación
Divulgadores
Línea Ética
Especialistas fraude interno
Contención de fraudes
**
Mejoramiento Continuo
Capacitación y Concientización
| 18
5. Ciclo Control Integral del Fraude
Datos
Aplicación de Algoritmos Segmentación / Predicción
Interpretación de resultados
Combinación de reglas
Generación de alertas
Alinear con la estrategia de negocio.
Definición de estrategia
Canales de distribución
Fuerza comercial
Áreas de apoyo
…
CONOCIMIENTO
Áreas de control
Áreas gestoras de riesgo
Dueños de los procesos
Mercadeo
Actualización mapas riesgo de fraude
Análisis de riegos (bajo nivel)
Capacitación y entrenamiento
Mentalidad y comportamiento
Modelos para predecir y detectar
Propuesta de aplicación o mejora de controles
Extracción, comprensión y preparación de datos
Validación con todos los actores
Retro-alimentación y reporte de fraudes
Gestión de alertas de fraude
Actualización base de conocimiento
Recepción e investigación de fraudes
Puesta en producción
Control de calidad
Gestión de incidentes de fraude
Actualización base de conocimiento
Seguimiento indicadores de gestión PATF
“La sociedad futura será una sociedad del conocimiento y los trabajadores
del conocimiento serán el grupo dominante de su población activa”
Peter F. Drucker, La Gerencia en la Sociedad Futura
| 20
Lecciones aprendidas
Importante trabajar en:
1. Ejecución de acciones conjuntas y coordinadas entre las áreas de control, la
administración, la fuerza comercial y áreas de apoyo
2. Estudio de la naturaleza y evolución de los defraudadores, para actuar con un
nivel de conocimiento que permita mejorar la efectividad en la reducción de la
siniestralidad
3. Empleo eficaz de los recursos, apoyados en las mejores prácticas y tecnología
de punta
4. Acciones concretas e inmediatas, a partir del conocimiento obtenido y los
resultados de los indicadores
5. Cultura de personal disciplinado, afianzado en los principios y valores éticos;
comprometido con una sociedad mejor
6. Creación de redes de apoyo e inteligencia del delito con autoridades, entidades
del sector financiero, sector seguros y demás organizaciones gremiales
7. Principio de especialización, división de tareas, trabajo de equipos
multidisciplinarios